buu练题记录7-[网鼎杯 2020 青龙组]singal

最新推荐文章于 2024-08-28 11:25:49 发布
最新推荐文章于 2024-08-28 11:25:49 发布
阅读量232 收藏 1
点赞数
分类专栏: buuctf Reserve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45892237/article/details/115798011
版权

0x00 查壳

首先拿到的是一个exe文件,所以先查壳,然后看看是32位还是64位的程序

image-20210417145819257

32位的程序,无壳。进入IDA分析:

0x01 IDA分析

image-20210417150023401

很容易就找到mian函数,逻辑简单,就一个函数。直接进入函数分析:

int __cdecl vm_operad(int *a1, int a2)
{
  int result; // eax
  char v3[100]; // [esp+13h] [ebp-E5h]
  char v4[100]; // [esp+77h] [ebp-81h]
  char v5; // [esp+DBh] [ebp-1Dh]
  int v6; // [esp+DCh] [ebp-1Ch]
  int v7; // [esp+E0h] [ebp-18h]
  int v8; // [esp+E4h] [ebp-14h]
  int v9; // [esp+E8h] [ebp-10h]
  int v10; // [esp+ECh] [ebp-Ch]

  v10 = 0;
  v9 = 0;
  v8 = 0;
  v7 = 0;
  v6 = 0;
  while ( 1 )
  {
    result = v10;
    if ( v10 >= a2 )
      return result;
    switch ( a1[v10] )
    {
      case 1:                                   // 调用到1的时候就完成一个v4值得产生
        v4[v7] = v5;
        ++v10;
        ++v7;
        ++v9;
        break;
      case 2:
        v5 = a1[v10 + 1] + v3[v9];              // a1当前值得下一个值与v3当前值的和
        v10 += 2;
        break;
      case 3:
        v5 = v3[v9] - LOBYTE(a1[v10 + 1]);      // v3的当前值减去a1下一个值
        v10 += 2;
        break;
      case 4:
        v5 = a1[v10 + 1] ^ v3[v9];              // 异或
        v10 += 2;
        break;
      case 5:
        v5 = a1[v10 + 1] * v3[v9];              // 相乘
        v10 += 2;                               // 2,3,4,5下的运算,均为v10 += 2,既他们下一个的数的值即使在运算步骤的取值范围内,也不作为运算步骤
        break;
      case 6:
        ++v10;
        break;
      case 7:
        if ( v4[v8] != a1[v10 + 1] )            // 之前产生的v4的值和a1中为7的值的下一个值比较
        {
          printf("what a shame...");
          exit(0);                              // 不同则停止程序
        }
        ++v8;
        v10 += 2;
        break;
      case 8:
        v3[v6] = v5;                            // 将当前运算的暂时的结果覆盖到当前的v3进行接来下的运算,直到调用1,产生新的v4,取下一个v3进入运算
        ++v10;
        ++v6;
        break;
      case 10:
        read(v3);                               // 写入v3,既将input传入v3
        ++v10;
        break;
      case 11:
        v5 = v3[v9] - 1;                        // 减1
        ++v10;
        break;
      case 12:
        v5 = v3[v9] + 1;                        // 加1
        ++v10;
        break;
      default:                                  // 大于12的值不作为运算方法,但参与其他的的运算的调用。
        continue;
    }
  }
}

通过分析read函数可知,输入的字符长度为15个

image-20210417152045868

在main函数中可知,vm_operad函数的a1是传入的v4,而v4则是cpy的dword_403040。所以我们直接查看dword_403040的值:

image-20210417152451917

将数据提取出来然后处理一下:

10,				//输入
4,16,8,3,5,1,	 //第1个数
4,32,8,5,3,1,
3,2,8,11,1,		
12,8,4,4,1,
5,3,8,3,33,1,
11,8,11,1,
4,9,8,3,32,1,
2,81,8,4,36,1,	 //第8个数
12,8,11,1,
5,2,8,2,37,1,	
2,54,8,4,65,1,
2,32,8,5,1,1,	//第一个1它前面是5,所以它没有被调用,后面的1才产生了一个v4
5,3,8,2,37,1,
4,9,8,3,32,1,
2,65,8,12,1,	//第15个数
7,34,7,63,7,52,7,50,7,114,7,51,7,24,7,-89,7,49,7,-15,7,40,7,-124,7,-63,7,30,7,122  //15次效验

0x02 exp

exp1

起初是写了一个爆破的exp,因为当时没有弄的太明白:

#include<stdio.h>
#include<string.h>
#include<windows.h>

char a1[] = {10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4,4,1,5,3,8,3,33,1,11,8,11,1,4,9,8,3,32,1,2,81,8,4,36,1,12,8,11,1,5,2,8,2,37,1,2,54,8,4,65,1,2,32,8,5,1,1,5,3,8,2,37,1,4,9,8,3,32,1,2,65,8,12,1,0};
unsigned char a2[] = {34,63,52,50,114,51,24,-89,49,-15,40,-124,-63,30,122,0};
int v10 = 0,v8 = 0,v7 = 0,v9 = 0,v6 = 0;
unsigned char v5,flag;

int crypt(int F,int S){
	v10 = S;
	while(1){
		switch ( a1[v10] ){
			case 0:
				exit(0);
			case 1:
		        return v5;
		    case 2:
		        v5 = a1[v10 + 1] + F;
		        v10 += 2;
		        break;
		    case 3:
		        v5 = F - (a1[v10 + 1]);
		        v10 += 2;
		        break;
		    case 4:
		        v5 = a1[v10 + 1] ^ F;
		        v10 += 2;
		        break;
		    case 5:
		        v5 = a1[v10 + 1] * F;
		        v10 += 2;
		        break;
		    case 6:
		        ++v10;
		        break;
		    case 7:
		        v10 += 2;
		        break;
		    case 8:
		        F = v5;
		        ++v10;
		        break;
		    case 10:
		        ++v10;
		        break;
		    case 11:
		        v5 = F - 1;
		        ++v10;
		        break;
		    case 12:
		        v5 = F + 1;
		        ++v10;
		        break;
		    default:
		        continue;
		}
	}
}

int main(){
	int V10 = 0 ,i = 0;
	while(1){	//硬爆破,唉,就是玩!
		for(flag = 1;flag<=122;flag++){
			int Crypt = crypt(flag,V10);
			if(Crypt == a2[i]){
				printf("%c",flag);
				i++;
				for(V10;a1[V10] != 1;V10++);
					V10++;			//匹配一个值进入下一个值的操作数段开头
				if(a1[V10] == 1)	//两个1的地方,往后跳一下
					V10++;
			}
		}
	}
}

exp2

边写笔记边把自己给弄明白了,同时也是为了更好的理解这个题,所以这里又写了一个逆算法和过程的exp:

#include<stdio.h>
#include<string.h>

char a1[] = {10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4,4,1,5,3,8,3,33,1,11,8,11,1,4,9,8,3,32,1,2,81,8,4,36,1,12,8,11,1,5,2,8,2,37,1,2,54,8,4,65,1,2,32,8,5,1,1,5,3,8,2,37,1,4,9,8,3,32,1,2,65,8,12,1,0};
unsigned char a2[] = {34,63,52,50,114,51,24,-89,49,-15,40,-124,-63,30,122,0};
int v10 = strlen(a1) - 1,v8 = 14,v7 = 0,v9 = 15,v6 = 0;
unsigned char v5 = 0,flag[16];

int main(){
	memset(flag,0,16);
	while(v10 >= 0){
		if(a1[v10-1] <= 5 && a1[v10-1] >= 2){	//这里是跳过非操作数,选出操作步骤 
			if(a1[v10-2] <= 5 && a1[v10-2] >= 2);
			else
				v10 --;
		}
		switch ( a1[v10] ){
			case 1:
		        v5 = a2[v8];
		        v9--;
		        v8--;
		        v10--;
		        break;
		    case 2:
		        flag[v9] = v5 - a1[v10 + 1];
		        v10--;
		        break;
		    case 3:
		        flag[v9] = v5 + (a1[v10 + 1]);
		        v10--;
		        break;
		    case 4:
		        flag[v9] = a1[v10 + 1] ^ v5;
		        v10--;
		        break;
		    case 5:
		        flag[v9] = v5 / a1[v10 + 1];
		        v10--;
		        break;
		    case 6:
		        --v10;
		        break;
		    case 8:
		        v5 = flag[v9];
		        --v10;
		        break;
		    case 10:
		        printf("%s",flag);
		        --v10;
		        break;
		    case 11:
		        flag[v9] = v5 + 1;
		        --v10;
		        break;
		    case 12:
		        flag[v9] = v5 - 1;
		        --v10;
		        break;
		    default:
		    	v10 -= 1;
		        break;
		}
	}
}
Asteri5m
关注
专栏目录
[网鼎杯 2020 青龙]singal
weixin_43990313的博客
10-26 825
这个题目方法有很多,目的是练习算法的分析和vm练习,尝试了静态直接逆算法和动态静态结合的方法 方法1 拖入ida找到main函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+18h] [bp-1D4h]@1 __main(); qmemcpy(&v4, &unk_403040, 0x1C8u);//拷贝opcode表 vm_operad(&v4,
BUUCTF Reverse/[网鼎杯 2020 青龙]singal
ookami6497的博客
07-31 574
BUUCTF Reverse/[网鼎杯 2020 青龙]singal 先看文件信息,没有加壳 运行,又是字符串比较的题目 IDA32位打开,打开string窗口,跟随跳转 读入字符串 size_t __cdecl read(char *Str) { size_t result; // eax printf("string:"); scanf("%s", Str); result = strlen(Str); if ( result != 15 ) {
BUUCTF-[网鼎杯 2020 青龙]singal 1(angr用法)
weixin_61154173的博客
02-10 477
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 654
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 1994
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[网鼎杯 2020 青龙]AreUSerialz 1
bazzza的博客
12-21 2221
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
2020网鼎杯白虎赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
buuctf————[网鼎杯 2020 青龙]singal
yhfgs的博客
10-18 236
1.查壳。 无壳,32位。 2.IDA反编译 可以看到主函数中关键函数为:vm_operad(), 逻辑就是:用switch分层加密,加密的结果为a1中7值之后的东西。(没太搞懂) 3.解密(我学的太菜了,脚本没写出来,手撸的。) 4.get flag flag{757515121f3d478} ...
re学习(16)[网鼎杯 2020 青龙]singal1(魔法库:angr)
m0_66039322的博客
07-15 407
对于angr做法没有必要关注这些过程,我们只要知道我们想要得到puts("good,The answer format is:flag {}");并且不想得到 printf("what a shame..."),找到相应的地址。(刚开始是看这个视频做的,但是有点看不懂,后来发现了可以用angr库做,而且更加方便~)即最终的flag为flag{757515121f3d478}看不懂,转angr~~~进入这个函数里面看看。
re -16 buuctf [网鼎杯 2020 青龙]singal(angr使用)
weixin_45847059的博客
11-23 559
[网鼎杯 2020 青龙]singal 前话:先记录下angr的使用。参考了大佬的文章:https://blog.csdn.net/Breeze_CAT/article/details/106139253 在cmd中使用,不能在pycharm中使用。 >>> import angr >>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r >>> state = p.facto
BUUCTF_[网鼎杯 2020 青龙]singal
qq_45149832的博客
09-22 1212
BUUCTF_[网鼎杯 2020 青龙]singal
BUUCTF-[网鼎杯 2020 青龙]singal——angr学习记录
weixin_52369224的博客
11-14 1739
​​​​​​学习结合b站的视频 环境配置:Ubuntu20.04+python3 ​​​​​​angr安装教程 切换到angr环境:workon angr 退出angr环境:deactivate 什么是符号执行: 符号执行 (Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时,该程序会使用符号值作为输入,而非一般执行程序时使用的具体值。在达到目标代码时,分析器可以得到相应的路径约束,然后通过约束求解器来...
BUUCTF [网鼎杯 2020 青龙]singal(angr)
最新发布
liulala987的博客
08-28 191
通常用于文件或套接字,而不是直接用于字符串。: 跳过当前指令(即不执行任何操作,只增加索引)。(下一个数元素,作为操作数)与。执行减一和加一操作,并更新索引。函数(这里可能是个错误,因为。中,并跳过下一个数元素。中,并跳过下一个数元素。中,并跳过下一个数元素。中,并跳过下一个数元素。,则打印错误消息并退出程序。继续跟进vm_operad。的低字节,结果存储在。: 执行条件检查,如果。: 执行加法操作,将。: 执行减法操作,从。: 执行异或操作,将。: 执行乘法操作,将。索引处,并更新索引。
[网鼎杯 2020 青龙]singal-复现
liaochonxiang的博客
06-10 118
/从“char*”到“int* ”的类型不兼容,编译器强制转为int*类型。//flag长度为15。//输出符合条件的code。case 10://可删除。case 6://可删除。case 7://可删除。//逆向过程为从后面向前面走。进入vm_operad函数。发现flag的长度为15。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值